CVE-2024-9095 in lunaryinformazioni

Riassunto

di VulDB • 18/06/2026

In lunary-ai/lunary versione v1.4.28, il route dell'API `/bigquery` manca di un adeguato controllo degli accessi, consentendo a qualsiasi utente autenticato di creare un Datastream verso Google BigQuery ed esportare l'intero database. Ciò include dati sensibili come hash delle password e chiavi API segrete. Il route è protetto da un controllo di configurazione (`config.DATA_WAREHOUSE_EXPORTS_ALLOWED`), ma non verifica il livello di accesso dell'utente né implementa alcun middleware di controllo degli accessi. Questa vulnerabilità può portare all'estrazione di dati sensibili, interruzione dei servizi, compromissione delle credenziali e violazioni dell'integrità del servizio.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Responsabile

@huntr Ai

Prenotare

22/09/2024

Divulgazione

20/03/2025

Moderazione

accettato

CPE

pronto

EPSS

0.00678

KEV

no

Attività

molto basso

Fonti

Do you know our Splunk app?

Download it now for free!